Nový malware, který dostal název Effusion, může podle popisu v reálném čase vkládat kód do webových stránek umístěných na napadených webových serverech. Vkládání kódu může vytvořit podmínky pro přesměrování na stránky kyberzločinců, kde mohou útočníci pomocí různých taktik sociálního inženýrství podvést uživatele a získat od něj citlivé údaje.
IntelCrawler hlásí, že Effusion pracuje se servery Nginx od verze 0.7 až do současné verze 1.4.4 a také s 32- nebo 64bitovou verzí Apache v systémech Linux nebo FreeBSD. Malware je maskován jako modul, který rozšiřuje základní funkce webového serveru. Škodlivý kód pak může vkládat zadaný obsah různých typů MIME, například JavaScript, HTML, nebo PHP do webových stránek nebo do speciálních formátovacích značek ve zdrojovém kódu stránek. Útočníci mohou také aktualizovat konfiguraci malwaru a vzdáleně sledovat změny kódu.
Malware má také schopnost filtrovat, což obtížnost odhalení neoprávněně vkládaného kódu dále zvyšuje. Effusion podporuje filtrování podle hlavičky, zdroje návštěv uživatelů, uživatelských klientů, adres IP nebo jejich rozsahů. Škodlivý software se současně snaží získat přístup superuživatele root k systému, aby mohl útočník na napadeném serveru podnikat další škodlivé aktivity.
Andrej Komarov, generální ředitel společnosti IntelCrawler, uvedl, že tvůrci modul Effusion na malwarových fórech nabízejí za 2 500 dolarů, což je na tamní poměry celkem vysoká cena. Ta má podle názoru bezpečnostních odborníků omezit počet uživatelů tohoto produktu.
Škodlivé moduly pro Apache nejsou žádnou novinkou, server Nginx se ovšem podobným nekalým záměrům prozatím vyhýbal. Podle analytické společnosti Netcraft má ovšem podíl Nginxu na světové scéně překonat hranici 14 % a stává se proto zajímavý i pro útočníky.
PŘEDPLATNÉ
ČLÁNKY DO MAILU